Como instalar OpenBSD desde Linux
Por el 31 de Octubre de 2023
Con este método es posible instalar OpenBSD en proveedores que sólo ofrezcan imágenes Linux. Hay dos formas de hacerlo:
- Copiando directamente el archivo miniroot al disco
- Usando kopenbsd en la configuración de grub2
Lo primero de todo es descargar el instalador de OpenBSD y comprobar su integridad.
Acceso a red local con VPN road warrior OpenIKED
Por el 26 de Octubre de 2023
Tengo un host OpenBSD 7.4 que sale a internet a través de un VPN OpenIKED; el objetivo es tener también acceso a las redes locales 192.168.1.0/24 y 192.168.2.0/24. Parto de las siguientes configuraciones:
Publicado OpenBSD 7.4
Por el 16 de Octubre de 2023
Theo de Raadt ha anunciado el lanzamiento de OpenBSD 7.4, correspondiente a la quincuagésimo quinta edición; los archivos ya se encuentran disponibles en los distintos mirrors.
Sincronización remota de archivos con openrsync
Por el 2 de Octubre de 2023
openrsync(1) sirve para sincronizar archivos locales en un destino remoto. Es parte de OpenBSD desde la versión 6.5 por lo que no requiere la instalación de ningún paquete.
Zonas de DNS reverso para IPv4 e IPv6
Por el 2 de Octubre de 2023
Voy a alojar la zona de DNS reverso para IPv4 e IPv6 de un servidor con las siguientes direcciones:
- IPv4: 203.0.113.1
- IPv6: 2001:db8:83ac:1aa::1/64
Estos serán los servidores DNS autoritativos:
- DNS: ns1.example.net y ns2.example.net
Y quiero que ambas IPs apunten a este nombre:
- PTR: foo.example.net
Necesito que el proveedor delegue su zona de DNS reverso de las IPs asignadas a tus propios servidores DNS autoritativos.
Servidor DNS caché privado con bloqueo de anuncios
Por el 25 de Septiembre de 2023
Voy a configurar mi propio servidor de DNS caché para no tener que utilizar los DNS de mi ISP ni ningún servicio de DNS público con bloqueo de anuncios.
Usar un servidor remoto tiene algunas ventajas:
- El servidor puede estar alojado en un proveedor con mayor respeto a la privacidad
- Ahorro de recursos si usas un EdgeRouter Lite y vas a usar unbound-adblock
- El servidor remoto guarda las consultas que no han expirado aunque apagues el router
Una alternativa más ligera al túnel consiste en usar TLS con la opción forward-tls-upstream en unbound y DNS sobre TLS en el servidor.
Como obtener las huellas SSH de un servidor de forma segura con registros SSHFP
Por el 24 de Septiembre de 2023
El RFC 4255 define un método de verificación de las llaves SSH de un host usando DNSSEC el cual consiste en publicar en el DNS las huellas SSH del servidor de forma que al usar la opción VerifyHostKeyDNS con ssh(1) se comprueba la autenticidad del mismo.
Conectividad IPv6 con una subred /56 y un túnel WireGuard
Por el 22 de Septiembre de 2023
A partir de una conexión IPv4, un router y un servidor OpenBSD al que va enrutada una subred IPv6 /56 voy a conseguir conectividad IPv6 en la red de casa sin necesidad de NAT66.
Estos artículos me han sido muy útiles para hacerlo funcionar:
Como enviar las huellas SSH con netcat
Por el 20 de Septiembre de 2023
Cuando conectas por primera vez a un servidor con OpenSSH se muestra una huella y pregunta si confías en ella o no. Salvo que la hayas guardado previamente o actives la verificación por DNS con la opción VerifyHostKeyDNS no sabes si estás conectando con el servidor original o con un intermediario.
La solución más común consiste en enviar al proveedor de hosting tu clave pública SSH de forma que al crear una instancia ésta viene con dicha clave pública incorporada con lo que la conexión es segura. El problema está cuando haces una instalación personalizada.
Tengo estos dos hosts:
- foo.example.com es el host desde el que inicio la conexión SSH
- bar.example.com es un servidor con OpenBSD recién instalado
Delegación de zona DNS para red local usando un dominio real con DNSSEC
Por el 16 de Septiembre de 2023
Este es un método alternativo al uso del dominio home.arpa., delegando una zona de un dominio real (en este caso example.net) al router, de forma que ésta no se resuelva desde el exterior. Tiene la ventaja de ser compatible con todo tipo de dispositivos y DNSSEC.
Estoy usando OpenBSD 7.3 y los siguientes servidores: